Zum Inhalt

Social Engineering & Phishing

Social Engineering & Phishing – Der Mensch als Schwachstelle

Warum Technik allein nicht schützt

Die beste Firewall, das stärkste Passwort, die aktuellste Software – all das hilft wenig, wenn der Angreifer nicht die Technik angreift, sondern den Menschen dahinter. Social Engineering ist die Kunst, Menschen dazu zu bringen, etwas zu tun, was sie nicht tun sollten – und es ist die häufigste Methode, mit der Angriffe auf Selbständige erfolgreich sind.

Der Grund ist einfach: Technische Systeme lassen sich patchen. Menschen lassen sich täuschen.

Phishing – E-Mails, die nicht sind, was sie scheinen

Phishing-E-Mails sind gefälschte Nachrichten, die so aussehen, als kämen sie von einem vertrauenswürdigen Absender – deiner Bank, deinem Hosting-Anbieter, Microsoft, dem Finanzamt, einem Kunden. Ziel ist es, dich dazu zu bringen, auf einen Link zu klicken, deine Zugangsdaten einzugeben oder einen Anhang zu öffnen.

Moderne Phishing-Mails sind erschreckend gut gemacht. Logos, Farben, Formulierungen – alles stimmt. Selbst erfahrene IT-Profis fallen gelegentlich darauf herein.

Erkennungsmerkmale – worauf du achtest:

  • Dringlichkeit und Druck: „Ihr Konto wird in 24 Stunden gesperrt." „Sofortige Reaktion erforderlich." Angreifer wollen, dass du ohne Nachdenken handelst.
  • Unerwartete Anfragen: Deine Bank schreibt dir normalerweise nicht, um deine Zugangsdaten zu bestätigen. Dein Hosting-Anbieter auch nicht.
  • Absenderadresse prüfen: Der Anzeigename kann täuschen – die tatsächliche Absenderadresse oft nicht. support@microsoft.com ist echt. support@micros0ft-helpdesk.com nicht.
  • Links vor dem Klick prüfen: Fahre mit der Maus über den Link, ohne zu klicken – die tatsächliche Zieladresse erscheint in der Statusleiste. Stimmt sie mit dem überein, was du erwartest?
  • Anhänge aus unbekannten Quellen: Öffne keine Anhänge, die du nicht erwartet hast – auch nicht, wenn der Absender vertrauenswürdig wirkt.

Die sicherste Reaktion auf verdächtige Nachrichten: Nicht auf Links in der E-Mail klicken. Stattdessen die Website des Absenders direkt im Browser aufrufen und dort einloggen. Wenn tatsächlich etwas mit deinem Konto nicht stimmt, siehst du es dort.

Spear Phishing – wenn der Angriff persönlich wird

Spear Phishing ist gezieltes Phishing: Der Angreifer weiß bereits etwas über dich – deinen Namen, dein Unternehmen, einen Kunden, mit dem du arbeitest. Die Nachricht wirkt noch überzeugender, weil sie spezifisch ist.

Typisches Szenario: Eine E-Mail von jemandem, der vorgibt, ein bekannter Kunde zu sein, mit einer dringenden Zahlungsanfrage oder einer Bitte, eine Datei zu prüfen. Der Name stimmt, der Kontext stimmt – nur die E-Mail-Adresse ist minimal anders.

Was schützt: Klare interne Prozesse. Zahlungsänderungen oder ungewöhnliche Anfragen immer telefonisch bestätigen – über eine Nummer, die du selbst kennst, nicht über eine in der verdächtigen E-Mail genannte.

CEO Fraud und Fake-Rechnungen

CEO Fraud – auch Business E-Mail Compromise (BEC) genannt – ist eine Variante, bei der Angreifer die E-Mail-Adresse eines Vorgesetzten oder Geschäftspartners fälschen, um Zahlungen auszulösen. Für Selbständige relevanter: gefälschte Rechnungen von scheinbar bekannten Lieferanten, mit geänderten Bankverbindungen.

Schutzmaßnahme: Geänderte Bankverbindungen immer telefonisch beim bekannten Ansprechpartner bestätigen, bevor du zahlst. Eine kurze Anruf kann eine falsche Überweisung verhindern.

Was tun, wenn du auf Phishing hereingefallen bist?

Schritt 1: Passwort ändern – aber das reicht nicht alleine.

Das Passwort zu ändern ist die offensichtliche erste Maßnahme. Es ist aber nicht ausreichend. Der Grund: Wer sich mit gestohlenen Zugangsdaten bei einem Dienst angemeldet hat, bleibt in der Regel auch nach einer Passwortänderung eingeloggt – die bestehende Sitzung (Session) läuft weiter, bis sie aktiv beendet wird.

Schritt 2: Alle aktiven Sitzungen beenden.

Die meisten Dienste bieten in den Kontoeinstellungen eine Übersicht aller angemeldeten Geräte und aktiven Sitzungen – und die Möglichkeit, alle davon auf einmal abzumelden. Diese Funktion hat verschiedene Namen: „Alle Geräte abmelden", „Aktive Sitzungen beenden", „Überall abmelden". Suche sie in den Sicherheitseinstellungen des betroffenen Dienstes und nutze sie sofort. Erst dadurch wird der Angreifer tatsächlich ausgesperrt – nicht schon durch die Passwortänderung.

Schritt 3: Auf Backdoors prüfen.

Ein erfahrener Angreifer sorgt dafür, dass er auch nach dem Aussperren Zugang behält. Prüfe deshalb sorgfältig:

  • Wurden neue Benutzer, Sub-Accounts oder Administratoren angelegt?
  • Wurden E-Mail-Weiterleitungsregeln eingerichtet, die eingehende Mails still an eine fremde Adresse kopieren?
  • Wurden Wiederherstellungsadressen oder Telefonnummern geändert?
  • Wurden OAuth-Verbindungen zu Drittanwendungen hinzugefügt, die weiterhin Zugriff auf das Konto haben?

Diese Hintertüren werden von den meisten Betroffenen nicht geprüft – und ermöglichen dem Angreifer stillen Dauerzugriff, auch nachdem Passwort und 2FA erneuert wurden.

Schritt 4: 2FA neu einrichten.

Falls 2FA aktiv war und ein TOTP-Code eingegeben wurde: Der Angreifer hat diesen Code nur einmalig genutzt, er verfällt nach 30 Sekunden. Dennoch sollte 2FA neu eingerichtet werden – insbesondere wenn der Verdacht besteht, dass der Angreifer Zugang zu den Backup-Codes hatte.

Schritt 5: Folgeschäden prüfen.

Wurden Daten abgegriffen? Transaktionen ausgelöst? E-Mails in deinem Namen versendet? Bei Zahlungsdaten sofort die Bank informieren. Falls personenbezogene Kundendaten betroffen sind: DSGVO-Meldepflicht nach Art. 33 prüfen – Frist 72 Stunden.

Und: Nicht mit dir selbst hadern. Phishing-Angriffe sind professionell gemacht und täuschen auch erfahrene Nutzer. Wichtig ist, schnell und vollständig zu reagieren.

Checkliste: Social Engineering & Phishing

  • Ich prüfe die tatsächliche Absenderadresse bei verdächtigen E-Mails, nicht nur den Anzeigenamen.
  • Ich klicke nicht auf Links in E-Mails, die ich nicht erwartet habe – ich rufe die Website direkt auf.
  • Ich öffne keine Anhänge aus unbekannten oder verdächtigen Quellen.
  • Geänderte Bankverbindungen bestätige ich immer telefonisch.
  • Ich weiß, was ich tun muss, wenn ich auf eine Phishing-Mail hereingefallen bin – inklusive Session-Terminierung und Backdoor-Prüfung.
  • Ich weiß, wo ich in meinen wichtigsten Diensten alle aktiven Sitzungen beenden kann.